Discussion:
[lk] VPN kétirányú kapcsolat
(too old to reply)
HTA
2021-01-27 17:05:16 UTC
Permalink
Sziasztok!

Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső hálózatból
visszafelé is elérjek.
A felépítés valami ilyesmi:

196.168.0.66: Otthoni gép
    10.8.0.31: Otthoni gép VPN címe
192.168.0.1: Otthoni router
90.80.70.60: Otthoni külső IP
.
. Internet
.
80.90.100.200: Céges külső IP
10.8.0.1: Céges túzfal/VPN server
    Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
10.8.0.2: Céges belső server (DHCP is)
    Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
    route:
        0.0.0.0         10.8.0.1        0.0.0.0         UG    0
0        0 eth0
        10.8.0.0        0.0.0.0         255.255.255.0   U     0
0        0 eth0
10.8.0.144: Céges gép a belső hálózaton

Kérdés:
Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
otthoni gépre rálátni?
Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de visszafelé
semmilyen válasz nem érkezik (ping).

Megpróbáltam úgy is, hogy az otthoni hálózat helyett mobillal
kapcsolódtam be VPN-el (ezzel kiküszöbölve a router-t), de úgy sem
működik :(
--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus

_______________________________________________________
linux-kezdo lista - linux-***@mlf.linux.rulez.org
http:/
Kiss Gabor
2021-01-28 05:23:35 UTC
Permalink
Post by HTA
Sziasztok!
Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső hálózatból
visszafelé is elérjek.
196.168.0.66: Otthoni gép
    10.8.0.31: Otthoni gép VPN címe
192.168.0.1: Otthoni router
90.80.70.60: Otthoni külső IP
.
. Internet
.
80.90.100.200: Céges külső IP
10.8.0.1: Céges túzfal/VPN server
    Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
10.8.0.2: Céges belső server (DHCP is)
    Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
        0.0.0.0         10.8.0.1        0.0.0.0         UG    0
0        0 eth0
        10.8.0.0        0.0.0.0         255.255.255.0   U     0
0        0 eth0
10.8.0.144: Céges gép a belső hálózaton
(Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
lenne a prefix hossza is. Egy esetben tudjuk, a belső szervernél:
10.8.0.2/24.
Tegyük fel, hogy egységesen /16 mindenhol!)
Post by HTA
Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
otthoni gépre rálátni?
Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de visszafelé
semmilyen válasz nem érkezik (ping).
Mit jelent az, hogy "jól működik befelé"?
Konkrétan milyen hálózati aktivitást tudsz végezni? Honnan, hova?

Hogy válaszoljak is valamit, ne csak kérdezzek...

A 10.8.0.2 azt hiszi a 10.8.0.31 címről, hogy
egyazon hálózaton van vele, ezért amikor hozzád akar küldeni valamit,
először ARP-vel ki akarja találni a 10.8.0.31 MAC címét.
Ehhez az kell, hogy a router proxy ARP-t végezzen, azaz hazudja azt,
hogy az övé a 10.8.0.31 cím.
Ezt kellene legelébb is ellenőrizned.
A 10.8.0.2-n indíts egy pinget a 10.8.0.31-re, és közben nézd meg az
ARP táblát. ("arp -n")
Akkor vagyunk jók, ha a 10.8.0.31-hez ugyanaz a MAC address tartozik,
mint a 10.8.0.1-hez.
Ennek függvényében lépünk tovább a hibakeresésben. Pl. ha nincs
proxy ARP, akkor be kell írni egy statikus entry-t a 10.8.0.2 routing
táblájába.

Csak este leszek újra on-line, ne türelmetlenkedj! addig gondoskodj
róla, hogy mindenhol legyen tcpdump program! :)

Egy tanács: a VPN klienseknek én egy szebb címtartományt osztanék, ami
leírható egyetlen routing bejegyzéssel. Ezt most nem tudom egyszerűen
elmagyarázni, de mondok egy példát:
10.8.0.32 - 10.8.0.63 (azaz 10.8.0.32/27)

Egyébként miért spóroltok ennyire a prefix-szel? A 10.0.0.0/8-ból
miért csak egy picinyke /24-t használtok.

kissg
_______________________________________________________
linux-kezdo lista - linux-***@mlf.linux.rulez.org
http://mlf.linu
Kiss Gabor
2021-01-28 05:25:39 UTC
Permalink
Post by Kiss Gabor
         10.8.0.0        0.0.0.0         255.255.255.0   U     0
0        0 eth0
10.8.0.144: Céges gép a belső hálózaton
(Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
10.8.0.2/24.
Tegyük fel, hogy egységesen /16 mindenhol!)
Mármint /24 mindenhol. :)
g


_______________________________________________________
linux-kezdo lista - linux-***@mlf.linux.rulez.org
ht
HTA
2021-01-28 17:01:05 UTC
Permalink
Köszi a választ, de néhány dolog megváltoztathatalan :(
Azért emeltem ki külön a "Tűzfal/VPN" server-t, mert az nem általam van
kezelve, hanem az irodaház általános tűzfala.
A nekünk kiosztott tartomány a 10.8.0.0/24, és a VPN kliensek is ezt
kapják (illetve egy másik is él, ami 10.8.0.254.0/24, de azt még nem
próbáltam ki).
A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
Egyébként a válaszom a tartomány maszkra az, hogy mindenhol "/24" értendő.
Post by Kiss Gabor
Post by HTA
Sziasztok!
Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső
hálózatból visszafelé is elérjek.
196.168.0.66: Otthoni gép
     10.8.0.31: Otthoni gép VPN címe
192.168.0.1: Otthoni router
90.80.70.60: Otthoni külső IP
.
. Internet
.
80.90.100.200: Céges külső IP
10.8.0.1: Céges túzfal/VPN server
     Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
10.8.0.2: Céges belső server (DHCP is)
     Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
         0.0.0.0         10.8.0.1        0.0.0.0         UG    0
0        0 eth0
         10.8.0.0        0.0.0.0         255.255.255.0   U     0
0        0 eth0
10.8.0.144: Céges gép a belső hálózaton
(Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
10.8.0.2/24.
Tegyük fel, hogy egységesen /16 mindenhol!)
Post by HTA
Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
otthoni gépre rálátni?
Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de
visszafelé semmilyen válasz nem érkezik (ping).
Mit jelent az, hogy "jól működik befelé"?
Konkrétan milyen hálózati aktivitást tudsz végezni? Honnan, hova?
Hogy válaszoljak is valamit, ne csak kérdezzek...
A 10.8.0.2 azt hiszi a 10.8.0.31 címről, hogy
egyazon hálózaton van vele, ezért amikor hozzád akar küldeni valamit,
először ARP-vel ki akarja találni a 10.8.0.31 MAC címét.
Ehhez az kell, hogy a router proxy ARP-t végezzen, azaz hazudja azt,
hogy az övé a 10.8.0.31 cím.
Ezt kellene legelébb is ellenőrizned.
A 10.8.0.2-n indíts egy pinget a 10.8.0.31-re, és közben nézd meg az
ARP táblát. ("arp -n")
Akkor vagyunk jók, ha a 10.8.0.31-hez ugyanaz a MAC address tartozik,
mint a 10.8.0.1-hez.
Ennek függvényében lépünk tovább a hibakeresésben. Pl. ha nincs
proxy ARP, akkor be kell írni egy statikus entry-t a 10.8.0.2 routing
táblájába.
Csak este leszek újra on-line, ne türelmetlenkedj! addig gondoskodj
róla, hogy mindenhol legyen tcpdump program! :)
Egy tanács: a VPN klienseknek én egy szebb címtartományt osztanék, ami
leírható egyetlen routing bejegyzéssel. Ezt most nem tudom egyszerűen
10.8.0.32 - 10.8.0.63 (azaz 10.8.0.32/27)
Egyébként miért spóroltok ennyire a prefix-szel? A 10.0.0.0/8-ból
miért csak egy picinyke /24-t használtok.
kissg
_______________________________________________________
http://mlf.linux.rulez.org/mailman/listinfo/linux-kezdo
--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus
Kiss Gabor
2021-01-28 17:27:29 UTC
Permalink
Post by HTA
A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
Erre a kérdésre majd akkor tudok válaszolni, ha elvégezted a mérést,
amit kértem.

kissg
--
A: Because it messes up the order in which people normally read text.
Q: Why is top-posting such a bad thing?
A: Top-posting.
Q: What is the most annoying thing in e-mail?
_______________________________________________________
linux-kezdo lista - linux-***@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux-kezdo
HTA
2021-01-28 18:36:02 UTC
Permalink
Köszi a választ, de néhány dolog megváltoztathatalan
Azért emeltem ki külön a "Tűzfal/VPN" server-t, mert az nem általam van
kezelve, hanem az irodaház általános tűzfala.
A nekünk kiosztott tartomány a 10.8.0.0/24, és a VPN kliensek is ezt
kapják (illetve egy másik is él, ami 10.8.0.254.0/24, de azt még nem
próbáltam ki).
A VPN a megadott tartományt osztja ki (30-tól 80-ig), ezért kell a saját
server-ünkön (10.8.0.2) a DHCP-ben kihagyni ezt a tratományt.
Kell-e a céges tűzfalon (10.8.0.1) valamilyen beállítást eszközöltetnem,
hogy működjön a lenti igényem?
Egyébként a válaszom a tartomány maszkra az, hogy mindenhol "/24" értendő.

U.i.: Bocsi, de az előbb rossz címre ment :(
Post by Kiss Gabor
Post by HTA
Sziasztok!
Meg kéne oldanom, hogy egy VPN-el bekapcsolódó gépet a belső
hálózatból visszafelé is elérjek.
196.168.0.66: Otthoni gép
     10.8.0.31: Otthoni gép VPN címe
192.168.0.1: Otthoni router
90.80.70.60: Otthoni külső IP
.
. Internet
.
80.90.100.200: Céges külső IP
10.8.0.1: Céges túzfal/VPN server
     Ez osztja a VPN címeket: 10.8.0.30 - 10.8.0.80
10.8.0.2: Céges belső server (DHCP is)
     Ez osztja a belső címeket: 10.8.0.90 - 10.8.0.240
         0.0.0.0         10.8.0.1        0.0.0.0         UG    0
0        0 eth0
         10.8.0.0        0.0.0.0         255.255.255.0   U     0
0        0 eth0
10.8.0.144: Céges gép a belső hálózaton
(Hiányosak az adatok. Akkor lenne precíz, ha minden cím mellett ott
10.8.0.2/24.
Tegyük fel, hogy egységesen /16 mindenhol!)
Post by HTA
Hogyan tudok a céges hálózat (pl: 10.8.0.2) gépéről a 10.8.0.31 című
otthoni gépre rálátni?
Otthonról jól működik befelé (mivel a VPN teszi a dolgát), de
visszafelé semmilyen válasz nem érkezik (ping).
Mit jelent az, hogy "jól működik befelé"?
Konkrétan milyen hálózati aktivitást tudsz végezni? Honnan, hova?
Hogy válaszoljak is valamit, ne csak kérdezzek...
A 10.8.0.2 azt hiszi a 10.8.0.31 címről, hogy
egyazon hálózaton van vele, ezért amikor hozzád akar küldeni valamit,
először ARP-vel ki akarja találni a 10.8.0.31 MAC címét.
Ehhez az kell, hogy a router proxy ARP-t végezzen, azaz hazudja azt,
hogy az övé a 10.8.0.31 cím.
Ezt kellene legelébb is ellenőrizned.
A 10.8.0.2-n indíts egy pinget a 10.8.0.31-re, és közben nézd meg az
ARP táblát. ("arp -n")
Akkor vagyunk jók, ha a 10.8.0.31-hez ugyanaz a MAC address tartozik,
mint a 10.8.0.1-hez.
Ennek függvényében lépünk tovább a hibakeresésben. Pl. ha nincs
proxy ARP, akkor be kell írni egy statikus entry-t a 10.8.0.2 routing
táblájába.
Csak este leszek újra on-line, ne türelmetlenkedj! addig gondoskodj
róla, hogy mindenhol legyen tcpdump program! :)
Egy tanács: a VPN klienseknek én egy szebb címtartományt osztanék, ami
leírható egyetlen routing bejegyzéssel. Ezt most nem tudom egyszerűen
10.8.0.32 - 10.8.0.63 (azaz 10.8.0.32/27)
Egyébként miért spóroltok ennyire a prefix-szel? A 10.0.0.0/8-ból
miért csak egy picinyke /24-t használtok.
kissg
_______________________________________________________
http://mlf.linux.rulez.org/mailman/listinfo/linux-kezdo
--
Ezt az e-mailt az Avast víruskereső szoftver átvizsgálta.
https://www.avast.com/antivirus

_______________________________________________________
linux-kezdo lista - linux-***@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listi
Loading...